Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как оформить согласие на обработку персональных данных в 2022 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Иногда работодатели публикуют в интернете «чёрные» списки сотрудников, с которыми у них возникали проблемы. При этом они не учитывают тот факт, что персональные данные работника — это защищаемая законом информация, и её нельзя использовать по своему усмотрению. Основы для этого заложены в Конституции Российской Федерации.
Обработка персональных данных
В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)
Сколько согласий запрашивать?
В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.
Это согласие работодатели уже давно должны были запросить у работников.
К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).
В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.
Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.
Защита персональной информации соискателей
Резюме соискателя включает большой объем персональной информации — к ним относятся номер телефона и электронная почта, данные об образовании и о месте жительства.
Роскомнадзор рекомендует работодателям получать согласие на обработку персональных сведений из резюме для обеспечения их защиты. Оно оформляется на время прохождения собеседования, пока не примут окончательное решение.
Согласие не нужно в таких ситуациях:
- резюме соискателя компания получает от агентства по подбору персонала. В этом случае именно агентство обязано защищать персональные данные;
- соискатель сам загружает резюме в открытый доступ, к примеру, на сайте по поиску работы. В этом случае сайт и соискатель совместно несут обязанность по защите персональных данных.
Защита персональной информации, полученной из анкет
Зачастую работодатели используют анкеты как инструмент первичного отбора кандидатов. В этой ситуации также надо помнить про защиту персональной информации соискателя. Необходимо обратить внимание на такие моменты:
- любая такая анкета должна включать сведения о сроке ее рассмотрения;
- нужно четко указать цель обработки персональной информации, которая получена через анкетирование. Цель должна обозначаться через указание конкретных действий и сроков их осуществления;
- в анкете должен быть пункт, в котором соискатель указывает, что он согласен на обработку персональной информации;
- у анкеты не должно быть технической возможности объединить поля для внесений информации, цели обработки которой изначально не совместимы.
Ответственность за распространение персональных данных
Законодательные нарушения в части хранения персональных данных караются административными штрафами и другими наказаниями вплоть до уголовного преследования. Назначаемые санкции зависят от характера и степени обнаруженных недочётов, наличия усугубляющих факторов (например, массового распространения содержимого анкет или электронных баз данных).
Нарушителям грозит:
- штраф до 75 тысяч рублей — за сбор избыточных данных, обработку без согласия на это со стороны работника, предоставление доступа посторонним лицам;
- штраф до 200 тысяч рублей или лишение свободы до 2 лет, запрет занимать определенные должности до 3 лет — за публикацию персональных данных в открытом доступе;
- штраф до 300 тысяч рублей, лишение свободы до 5 лет, запрет на занятие должностей до 6 лет — если указанное выше нарушение было совершено с использованием служебного положения.
Новые штрафы за нарушение правил обработки персональных данных
Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.
Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).
Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.
С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.
Как и когда нужно уведомлять Роскомнадзор
Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.
Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.
Когда можно не подавать уведомление
Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:
- персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
- персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Какие есть требования к согласию на обработку ПД
Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:
- цели обработки персональных данных;
- перечня персональных данных, на обработку которых даёт согласие их субъект;
- наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
- перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
- срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.
Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!
Для каждой цели обработки персональных данных нужно отдельно указывать:
- категории и перечень персональных данных
- категории субъектов, персональные данные которых обрабатываются;
- способы и сроки хранения персональных данных;
- порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).
Как получить согласие на обработку персональных данных
Обработка ПД – любые действия с личной информацией о человеке:
- получение (сбор персональных данных);
- структуризация;
- хранение на любых носителях (в электронных и бумажных архивах);
- анализ;
- использование в коммерческой, социальной, государственной деятельности;
- передача другим владельцам или предоставление доступа к базе;
- обезличивание – устранение очевидной связи между человеком и его ПД;
- блокировка – временная остановка работы с информацией по запросу граждан или регулятора;
- удаление и обновление;
- ликвидация без возможности восстановления.
Когда согласие не нужно
В разрешении на обработку ПД нет необходимости, если их субъект:
- Является участником договора.
- Подвергается судебному разбирательству.
- Не может физически предоставить согласие в экстренных ситуациях (например, находится без сознания).
Также не нужно получать согласие на обработку информации, которая не попадает в перечень исключений или не относится к ПД, например:
- сведения, собранные для личных нужд человека – списки телефонных и почтовых контактов, визитные карточки, профили друзей в соцсетях;
- фото или видео с общественных мероприятий или полученные на платной основе;
- ИНН без привязки к другой информации;
- государственные номера транспортных средств.
- данные для проведения научных исследований, творческой деятельности, не нарушающие прав и интересов граждан;
- информация, предназначенная для передачи только внутри компании (группы компаний)
Закон не дает исчерпывающего определения ПД, поэтому при сборе любой информации о клиенте лучше заручиться его согласием. Это поможет избежать взысканий.
Что такое согласие на обработку персональных данных?
Разрешение владельца персональных данных на их обработку обычно оформляется в письменной форме, в том числе и при трудоустройстве.
Наученные горьким опытом или просто осторожные компании просят потребителей подписать соответствующие заявления при оформлении дисконтных карт и участии в акциях; поликлиники, школы, вузы и другие учреждения также разработали типовое согласие на обработку персональных данных.
Образец перед подписанием следует внимательно изучить и убедиться, что запрашиваемая информация действительно необходима конкретному лицу. Письменная форма согласия на обработку персональных данных позволяет подтвердить добрую волю владельца.
Оговорки о персональных данных вносятся практически во все договоры: хозяйственные, трудовые, потребительские, ведь в деле соблюдения закона лучше немного перестараться, чем недоглядеть.
Единственный способ избежать претензий Роскомнадзора и внушительных штрафов, которые могут достигать 18 млн р. — правильно организовать защиту и обработку личной информации.
Обработка персональных данных — любые действия с информацией о личности, выполняемые как с применением средств автоматизации, так и без них: сбор, систематизация, обезличивание, иные операции.
Чтобы не нарушить законодательство, компании следует придерживаться ряда правил.
- Уведомить Роскомнадзор перед тем, как приступить к обработке. Уведомлять не надо при операциях с конфиденциальными данными:
- сотрудников фирмы;
- при заключении договоров;
- в ряде других случаев (ч. 2 ст. 22 ФЗ N 152-ФЗ).
- Разработать политику компании по обработке данных и разместить её в открытом доступе: на сайте или на видном месте в офисе (если сайта нет).
- Определить цели работы с личными данными и работать с ними строго с заявленными целями.
- Обрабатывать данные с применением баз данных, которые расположены на территории РФ.
- Принять локальные акты, которые определяют правила проведения операции с личными данными. Законодательство не содержит перечень документов, которые обязана иметь компания.
Руководитель должен самостоятельно решить, какие локальные акты необходимо принять для данной компании, чтобы избежать претензий со стороны контролирующих органов.
Чаще всего это:
- регламент обработки данных;
- правила компании по подбору персонала;
- введение пропускного режима;
- перечень мест хранения данных;
- регламент уточнения, уничтожения ПДн.
- Назначить лицо, которое отвечает за вопросы безопасности обработки ПДн.
- Утвердить перечень сотрудников, которые допущены к работе с информацией.
Согласие на обработку
Законодатель предусматривает, что получение информации осуществляется при согласии человека. Выражается оно в письменной форме. Заполняется документ сотрудников собственноручно. Когда другой человек представляет сведения – необходимо получить согласие от работника.
В законе отражено, что согласие должно быть сознательными и информированным. Дает его человек, о котором предоставляется информация или его представитель. Исключения могут быть отражены в законах. Закон не говорит, что согласие выражается в письменной форме. Такие правила установлены в статье 13.11 КоАП.
Исходя из этой нормы указывают, что в ситуациях, отраженных в законе, получение согласия происходит в письменной форме. Оно необходимо для того, чтобы в возможной спорной ситуации доказать получение сведений на законных основаниях. Письменный документ поможет доказать правоту.
Хранение и использование персональных данных
Согласно ст. 87 ТК РФ работодатель должен установить порядок хранения и использования персональных данных работников. Соответствующие нормы могут быть включены в локальный акт организации о персональных данных. При этом они должны отвечать требованиям, установленным ТК РФ и иными федеральными законами.
Основные документы, содержащие персональные данные работника, объединяются, как правило, в его личное дело. Порядок ведения и хранения личного дела устанавливается работодателем. Вместе с тем сроки хранения документов, содержащих персональные данные работника, определяются в соответствии с Перечнем типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения (утв. Федеральной архивной службой России 6 октября 2000 г., в ред. Решения от 27 октября 2003 г.). Так, личные дела руководителя организации, членов руководящих, исполнительных, контрольных органов организации, работников, имеющих государственные и иные звания, премии, награды, ученые степени и звания, хранятся постоянно. Личные дела остальных работников хранятся в течение 75 лет.
Главным документом о трудовой деятельности и трудовом стаже работника, содержащим и его персональные данные, является трудовая книжка. Порядок хранения трудовых книжек устанавливают Правила ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей (утв. Постановлением Правительства РФ от 16 апреля 2003 г. N 225). Согласно п. 45 Правил ответственность за организацию работы по ведению, хранению, учету и выдаче трудовых книжек и вкладышей к ним возлагается на работодателя. Для этого приказом (распоряжением) работодателя назначается специально уполномоченное лицо.
Персональные данные работника – ТК РФ и другие нормативы
Обязанность охранять и защищать персональные данные работника является прямой для любого работодателя. Однако, прежде чем знакомиться с условиями их хранения и обработки, следует понять, что именно представляют собой эти данные, как они могут оформляться, обрабатываться и храниться на предприятии в ходе осуществления трудовых взаимоотношений. В первую очередь, определение понятия персональных данных и порядок их использования регламентируются в трудовых взаимоотношениях следующими нормативными документами и актами:
- ФЗ №152 от 27.07.2006. Этот закон в целом регламентирует вопрос использования личных данных в Российской Федерации, а также определяет само рассматриваемое понятие и порядок обращения с подобной информацией при осуществлении различной деятельности.
- Постановление Правительства РФ №1119 от 01.11.2012. Этим нормативным документом устанавливаются конкретные требования к автоматизированным системам, обеспечивающим обработку и хранение персональных данных. Они являются обязательными для всех работодателей.
- Постановление Правительства РФ №687 от 15.09.2008. Это правительственное постановление касается необходимого порядка действий и общих нормативов защиты, обработки и хранения персональных сведений в случаях, когда не применяются автоматизированные системы.
Кроме этого, регулируется данный вопрос и положениями следующих статей Трудового кодекса:
- Ст.81. Её нормативы подразумевают возможность увольнения трудящегося за разглашение тайны, в том числе и сведений об иных трудящихся на предприятии лицах.
- Ст.86. Означенная статья устанавливает общие принципы, соответственно которым производится обработка персональных данных в процессе осуществления трудовых взаимоотношений, при трудоустройстве или расторжении трудового договора.
- Ст.87. Её принципы устанавливают порядок хранения и использования наличествующих сведений о трудящихся.
- Ст.88. Означенной статьей регламентируется возможность и порядок передачи сведений о трудящихся третьим лицам.
- Ст.89. Положения этой статьи обеспечивают регулирование основных прав трудящихся, которые связаны с информацией о них.
- Ст.90. Этой статьей устанавливается возможная ответственность за нарушение законодательства в сфере защиты персональных данных сотрудников. Рассматриваемая ответственность может иметь различный характер и применяться к любой из сторон трудовых взаимоотношений.
- Ст.391. Принципы, изложенные в означенной статье, затрагивают порядок разрешения индивидуальных трудовых споров и устанавливают, что в случае, когда предметом спора сотрудника и работодателя является разглашение сведений о трудящемся, таковые ситуации должны рассматриваться сразу в судебном порядке, минуя иные процессуальные процедуры.